responsable del centro de competencia de interoperabilidad ... · y aplicaciones a lo largo de su...
TRANSCRIPT
WWW.INSA.ES 1
SEGURIDAD EN EL ÁMBITO DE LA INTEROPERABILIDAD JUDICIAL
JOSÉ MOZO FERNÁNDEZResponsable del Centro de Competencia de Interoperabilidad TécnicaOficina Programa EJIS
INSA, INGENIERÍA Y SERVICIOS AEROESPACIALES
WWW.INSA.ES 2
INSA� Marco Legal Regulatorio:
� Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
� Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
� Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
� Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
� Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
� Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
� Plan de acción del Consejo y la Comisión por el que se aplica el Programa de la Haya sobre refuerzo de la libertad, la seguridad y la justicia en la Unión Europea. (DUE 2005/C 198/01).
� Real Decreto 951/2005, de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado.
� Real Decreto 2291/1983, de 28 de julio, sobre órganos de elaboración y desarrollo de la política informática del Gobierno.
Marco legal regulatorio
WWW.INSA.ES 3
INSA Marco legal regulatorio
� Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado.
� Resolución de 26 de mayo de 2003, de la Secretaría de Estado para la Administración Pública, dispone la publicación del Acuerdo por el que se aprueban los Criterios de seguridad,normalización y conservación de las aplicaciones utilizadas por la Administración General del Estado (AGE) en el ejercicio de potestades (BOE 23-6-2003).
� Ley 59/2003, de 19 de diciembre, de firma electrónica.
� Real Decreto 1317/2001, de 30 de noviembre, por el que se desarrolla el artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas fiscales, administrativas y del orden social en materia de prestación de servicios de seguridad por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, en las comunicaciones a través de medios electrónicos, informáticos y telemáticos con las Administraciones Públicas.
� Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
� ORDEN PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
� Decisión 2004/387/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a la prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos (IDABC). Diario Oficial L 144 de 30.4.2004.
WWW.INSA.ES 4
INSA Marco legal regulatorio
� ORDEN JUS/1294/2003, de 30 de abril, por la que se determinan los ficheros automatizados con datos de carácter personal del departamento y de sus organismos públicos.
� ORDEN JUS/2590/2004, de 26 de julio, por la que se regula el Protocolo general de Seguridad informática de los Registros de la Administración de Justicia.
� Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
� Proyecto de Ley de Nuevas Tecnologías en la Administración de Justicia.
WWW.INSA.ES 5
INSAMarco Legal
Interoperabilidad y Seguridad
ACTUACIONES EN LA UE: Plan de AcciACTUACIONES EN LA UE: Plan de Acci óón eEurope 2005n eEurope 2005Marco europeo de interoperabilidad Marco europeo de interoperabilidad Plan europeo de e
Plan europeo de e--JusticiaJusticia
-- ee--Codex
Codex --
Stork Stork
Criterios SNC GuCriterios SNC Guíías CCNas CCN--STIC EVAM,EFQMSTIC EVAM,EFQM……MAGERIT, PILAR, MMAGERIT, PILAR, MÉÉTRICATRICA
ISO 9000, ISO 27000, ISO 20000 (ITIL), CMMIISO 9000, ISO 27000, ISO 20000 (ITIL), CMMI……
WWW.INSA.ES 6
INSA
EE--codexcodex
WWW.INSA.ES 7
INSA
La Constitución Española de 1978 postula en su artículo 18.4:
La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de
los ciudadanos y el pleno ejercicio de sus derechos. Al amparo de este precepto constitucional nos encontramos las relaciones entre el ciudadano y los poderes públicos. Las cuales, se desarrollan en una realidad cambiante que alumbran nuevas vías de comunicación, derivadas de la utilización de las Nuevas Tecnologías, y convierten a esta relación en un mecanismo más eficaz, rápido, transparente y seguro.
Continuando con este hilo argumental, la seguridad es un requisito básico y obligatorio para que la información perteneciente al ciudadano que es requerida por las Administraciones Públicas, en el ejercicio de sus funciones, sea tratada y gestionada con las máximas garantías de confianza.
No son pocas las leyes que regulan esta materia en el ámbito de la Administración, sin embargo dentro de la Administración de Justicia debemos centrarnos en lo que se expone a continuación.
Elementos básicos de la seguridad
© Oficina Técnica EJIS 2011. Todos los derechos reservados
WWW.INSA.ES 8
INSA Elementos básicos de la seguridad
Art.4 ENS – Principios Básicos
Artículo 5. La seguridad como un proceso integral
Artículo 6. Gestión de la seguridad basada en los riesgos
Artículo 7. Prevención, reacción y recuperación
Artículo 8. Líneas de defensa
Artículo 9. Reevaluación periódica
Artículo 10. La seguridad como función diferenciada
PROYECTO DE LEY REGULADORA DEL USO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN EN LA
ADMINISTRACIÓN DE JUSTICIA
Artículo 52. Elementos básicos de la seguridad judicial electrónica
WWW.INSA.ES 9
INSA Elementos básicos de la seguridad
ANEXO I ENS - Categorías de los sistemas2. Dimensiones de la seguridad.
a) Disponibilidad [D].b) Autenticidad [A].c) Integridad [I].d) Confidencialidad [C].e) Trazabilidad [T].
PROYECTO DE LEY REGULADORA DEL USO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN EN LA
ADMINISTRACIÓN DE JUSTICIA
Artículo 52. Elementos básicos de la seguridad judicial electrónica
A la que añade: f) Conservación.
WWW.INSA.ES 10
INSAEl Proyecto de Ley Reguladora del Uso de las Tecnologías de la Información y la Comunicación en la Administración de Justicia establece en el artículo 52:
1. Los elementos básicos en los que deberá sustentarse la seguridad judicial electrónica para asegurar que la Administración de Justicia pueda cumplir sus objetivos utilizando sistemas deinformación:
a) Seguridad integral, desde el punto de vista de un proceso integral constituidos por los elementos organizativos, normativos, humanos y técnicos relacionados con el sistema.
b) Gestión de riesgos, como proceso de garantía de la seguridad de la información.
c) Prevención, detección, reacción, corrección y recuperación como procesos soporte a la seguridad de la información.
d) Niveles de seguridad, entendidos como capas de seguridad que permitan una gestión de incidentes más adecuada.
e) Reevaluación periódica de las medidas de seguridad existentes para adecuar su eficacia a la constante evolución de riesgos, tecnología y sistemas de protección.
f) Función diferenciada dentro de la organización, estableciendo una estructura organizativa donde se identifique las figuras del responsable de la información, responsable de seguridad y responsable del servicio prestado.
2. Las dimensiones de la seguridad judicial electrónica: Autenticidad, Confidencialidad, Integridad, Disponibilidad, Trazabilidad y Conservación.
Elementos básicos de la seguridad
WWW.INSA.ES 11
INSA Requisitos mínimos de seguridad
ENS - Artículo 11. Requisitos mínimos de seguridad
a) Organización e implantación del proceso de seguridad.b) Análisis y gestión de los riesgos.c) Gestión de personal.d) Profesionalidad.e) Autorización y control de los accesos.f) Protección de las instalaciones.g) Adquisición de productos.h) Seguridad por defecto.i) Integridad y actualización del sistema.j) Protección de la información almacenada y en tránsito.k) Prevención ante otros sistemas de información interconectados.l) Registro de actividad.m) Incidentes de seguridad.n) Continuidad de la actividad.o) Mejora continua del proceso de seguridad.
PROYECTO DE LEY REGULADORA DEL USO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN EN LA
ADMINISTRACIÓN DE JUSTICIA Artículo 53. Requisitos mínimos de seguridad
WWW.INSA.ES 12
INSA
El Proyecto de Ley Reguladora del Uso de las Tecnologías de la Información y la Comunicación en la Administración de Justicia establece:
en el artículo 50 el desarrollo del marco normativo técnico: Para el mejor cumplimiento de lo establecido en relación con el Esquema Judicial de Interoperabilidad y Seguridad, el Comité Técnico Estatal de la Administración Judicial electrónica, en el ejercicio de sus competencias, elaborará y difundirá las correspondientes guías de interoperabilidad y seguridad de las tecnologías de la información y las comunicaciones.
en el artículo 53 los Requisitos mínimos de seguridad: El Esquema de seguridad judicial electrónica fijará los requisitos mínimos que todas las instituciones judiciales han de garantizar en relación a los sistemas de información de los que son responsables. Estos requisitos se desarrollarán mediante una guía técnica.
Requisitos mínimos de seguridad
ENS Art. 27 y 29 requisitos mínimos en todas las instituciones judiciales
Guías técnicas de seguridadGuías de seguridad
WWW.INSA.ES 13
INSA
La seguridad como cualidad integral en los sistemas de Administración de Justicia
El Proyecto de Ley Reguladora del Uso de las Tecnologías de la Información y la Comunicación en la Administración de Justicia establece en el artículo 47 que la seguridad deberá ser una cualidad integral de todos los sistemas de Administración de la justicia y para su cumplimiento exige que:
1. la seguridad deberá estar presente de forma integral desde la concepción de los servicios, sistemas y aplicaciones a lo largo de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, publicación, conservación y acceso o interconexión con los mismos.
2. la seguridad judicial se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, atendiendo en todo caso a la especial sensibilidad de la información contenida en los procedimientos judiciales electrónicos.
Normas de conformidad
En el artículo 48 señala que la seguridad de las sedes y registros judiciales electrónicos, así como la del acceso electrónico de los ciudadanos a los servicios judiciales, se regirán por lo establecido en la presente ley.
Criterios
WWW.INSA.ES 14
INSA
Normas de conformidad
El Proyecto de Ley Reguladora del Uso de las Tecnologías de la Información y la Comunicación en la Administración de Justicia en el artículo 48 señala:
1. La interoperabilidad y la seguridad de las sedes y registros judiciales electrónicos, así como la del acceso electrónico de los ciudadanos a los servicios judiciales, se regirán por lo establecido en la presente ley.
2. La conformidad con el Esquema Judicial de Interoperabilidad y Seguridad se incluirá en el ciclo de vida de los servicios y sistemas, acompañada de los correspondientes procedimientos de control.
3. El Comité Técnico Estatal de Administración Judicial Electrónica velará por el establecimiento de los mecanismos de control para asegurar, de forma efectiva, el cumplimiento del Esquema Judicial de Interoperabilidad.
4. En las sedes judiciales electrónicas correspondientes se publicarán las declaraciones de conformidad, compatibilidad y otros posibles distintivos de interoperabilidad obtenidos respecto al cumplimiento del Esquema Judicial de Interoperabilidad y Seguridad.
Mejora continua del proceso de seguridad.
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.
Criterios
WWW.INSA.ES 15
INSA1. El Comité Técnico Estatal de Administración Judicial Electrónica en el ámbito de las funciones asignadas establecerá la organización y recursos que considere adecuados para dar respuesta a los incidentes de seguridad que se produzcan en los sistemas de información de la Administración de Justicia.
2. Los recursos asignados a dar respuesta a los incidentes de seguridad, siempre que la gravedad del incidente lo requiera, actuaran de forma coordinada con el CCN-CERT (Centro Criptológico Nacional-Computer Emergency Reaction Team).
3. En cumplimiento del artículo 36 del ENS, el Comité Técnico Estatal de Administración Judicial Electrónica establecerá los protocolos y acuerdos de colaboración con el Centro Criptológico Nacional (CCN) para la coordinación y prestación de servicios de respuesta a incidentes de seguridad establecidas en el artículo 37 del ENS.
Respuesta a incidentes de seguridad
ENS -Artículo 36. Capacidad de respuesta a incidentes de seguridad de la información. El Centro Criptológico Nacional (CCN) articulará la respuesta a los incidentes de seguridad en torno a la estructura denominada CCN-CERT (Centro Criptológico Nacional-Computer Emergency Reaction Team), que actuará sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada administración pública y de la función de coordinación a nivelnacional e internacional del CCN.
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a lasAdministraciones públicas.
WWW.INSA.ES 16
INSAVisión de la seguridad EJIS
Seguridad aplicada a la Interoperabilidad
INTEROPERABILIDAD
JUDICIAL
SEGURA
(IJS)
DisponibilidadConfidencialidadConservaciónAutenticidadIntegridadTrazabilidad
A,D,C,I,Co,T A,D,C,I,Co,T
Seguridad
InteroperabilidadA B
D,C,Co
WWW.INSA.ES 17
INSA Visión de la seguridad EJIS
DIMENSIONES
INTEROPERABILIDAD
SEGURIDAD
WWW.INSA.ES 18
INSAVisión de la seguridad EJIS
Visión integral de la Seguridad
INTERVINIENTES
TECNOLÓGICOS
Sistema judicial Sistema judicial
Canales y Comunicaciones
Sistemas auxiliares de apoyoAlmacenes de información
Plataformas de interoperabilidadSistemas de verificación
Comunicaciones Comunicaciones
Gestión
WWW.INSA.ES 19
INSAVisión de ENS en el panorama judicial
Integración y Armonización
ESTRATEGIA Test deCompatibilidad
LOPD
CCN STIC
ISO 27000
Proyecto de Ley NNTT
en la AAJJ
OTROS
Ley 11/2007
Ley 30/1992
Ley 37/2007
ENS
WWW.INSA.ES 20
INSAVisión de ENS en el panorama judicial
Integración y Armonización
ESTRATEGIA Test deCompatibilidad
LOPD
CCN STIC
ISO 27000
Proyecto de Ley NNTT
en la AAJJ
OTROS
Ley 11/2007
Ley 30/1992
Ley 37/2007
ENS
WWW.INSA.ES 21
INSA Claves tecnológicas de la modernización de la justicia.
FACTORES
CLAVE
Firma electrónica
Intercambio Seguro de Información
Expediente electrónico
Estándares
WWW.INSA.ES 22
INSA Líneas base de actuación
WWW.INSA.ES 23
INSA Confianza del ciudadano
WWW.INSA.ES 24
INSAConfianza Tecnológica
Seguridad al ciudadano
FACTORES
CLAVE
XML XSD WSDL
HTTP SOAPHTTPS WSS
PKISOAESB
(Enterprise Service Bus)
ESTÁNDARES
ARQUITECTURAS
WS WS WS
WS WS
WWW.INSA.ES 25
INSAConfianza Metodológica
Seguridad al ciudadano
FACTORES
CLAVE
Métrica Magerit
ISO 27000
CMMICoBIT
ITIL
WWW.INSA.ES 26
INSAConfianza Institucional
Seguridad al ciudadano
FACTORES
CLAVE
WWW.INSA.ES 27
MUCHAS GRACIAS
SEGURIDAD EN EL ÁMBITO DE LA INTEROPERABILIDAD JUD ICIAL INSA
WWW.INSA.ES 28
INSA
WWW.INSA.ESMay, 31st 2006 28
Paseo del Pintor Rosales 3428008 MadridESPAÑA (Spain)
Centralita: +34 91 548 9060Fax: +34 91 548 9061
Ingeniería y Servicios Aeroespaciales, INSA
www.insa.es